München, Hamburg, 19. Februar 2005 AVERT (Antivirus and Vulnerability Emergency Response Team), das Virenforschungs-labor von McAfee (NYSE: MFE), warnt vor einer neuen Wurm-Variante die sich durch den MSN Messenger verbreitet. Der Schädling mit dem Namen W32/Bropia.worm.p (auch Bropia.worm.p) legt allerdings im Vergleich zu Vorgänger-Versionen keine neue Variante des W32/Sdbot.worm.gen ab. In den vergangenen Stunden gingen bei McAfee AVERT bisher mehr als 30 Meldungen über geblockte Versionen von Bropia.worm.p ein.
Charakteristika von Bropia.worm.p:
Diese Variante des Bropia-Wurms ähnelt seinen Vorgängern und tritt über den MSN Messenger in Erscheinung. Um sich zu infizieren muss der Anwender den Dateianhang eigenständig aktivieren. Nach der Ausführung versucht sich ein Bild über eine Webseite aufzubauen: "http://www.[blocked].com/lol_f***_you_lol/l0l_53xy_l0l.jpg."
Bei jedem Versuch eines Zugriffs auf diese Website wird ein Counter hochgezählt. Dennoch ist während der Wartezeit das Bild zu keiner Zeit verfügbar.
Vorgehensweise von Bropia.worm.p:
Nach der Ausführung des Anhangs legt der Internet-Wurm eine Kopie von sich im Hauptverzeichnis C:\ der Festplatte mit folgenden File-Namen ab:
-- c:\Beautiful A**.pif
-- c:\John Kerry as Super Chicken.scr
-- c:\Kool.pif
-- c:\Me & you pic!.pif
-- c:\Me P***ed!.pif
-- c:\sexy.pif
-- c:\She Could Fit her A** in a Teacup.pif
-- c:\she's f***in fit.pif
-- c:\titanic2.jpg.pif
(* ersetzt den eigentlichen Text)
Eine Kopie des Wurms ist weiterhin in %SysDir% als Isass.exe zu finden, wobei %SysDir% entweder unter C:\Windows\System32 oder C:\WinNT\System32 zu finden ist. Folgende Registry-Einträge werden beim Start erstellt:
-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run "Isass" = %SysDir% \Isass.exe
-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "Isass" = %SysDir% \Isass.exe
-- Der Wurm erstellt einen Marker auf dem infizierten Rechner mit folgender Bezeichnung:
.:*-F*k-U-*:.
Folgende Prozesse werden auf dem infizierten Rechner deaktiviert, um dem Anwender ein eigenhändiges Aufhalten bzw. Enterfernen des Internet-Wurms unmöglich zu machen:
-- Regedit.exe - registry editor
-- Mstask.exe - task manager
-- Msconfig.exe - configuration manager
Weitere Informationen über Bropia.worm.p sowie Schutzmaßnahmen finden sich auf der Website von McAfee AVERT unter http://vil.mcafeesecurity.com/vil/content/v_131862.htm.
Die 4430DAT-Signaturen, welche die Erkennung und Entfernung der neuen Variante erhält, wurden bereits gegen 1Uhr morgens (MEZ) bereitgestellt.
Diese Presseinformation sowie druckfähiges Bildmaterial finden Sie auch online unter: www.harvard.de.
Über McAfee
McAfee, Inc. mit Sitz in Santa Clara, Kalifornien, ist ein weltweit führender Anbieter von Intrusion Prevention- und Risiko-Management-Lösungen. Das Unternehmen liefert bewährte Sicherheitsprodukte und -dienstleistungen, die dabei helfen, miteinander in Konflikt stehende Prioritäten, die sich aus den Bedürfnissen der Unternehmen und ihren Sicherheitsanforderungen ergeben, wirksam in Einklang zu bringen. McAfee hilft Unternehmen, Behörden und Privatanwendern dabei, ihre Netzwerke und Computersysteme aktiv vor Angriffen und unternehmenskritischen Bedrohungen zu schützen. Das Ergebnis eines solchen Risiko-Management-Ansatzes: absolutes Vertrauen. Weitere Informationen erhalten Sie über www.mcafee.de.
Für weitere Informationen wenden Sie sich bitte an:
McAfee
Isabell Unseld
Ohmstr. 1
85716 Unterschleißheim
Tel: 089 / 37 07 - 0
Fax: 089 / 37 07 - 1199
E-Mail: isabell_unseld@mcafee.com
Harvard PR:
Jürgen Rast
Arno Glompner
Westendstraße 193-195
80686 München
Tel.: 089 / 53 29 57 - 0
Fax: 089 / 53 29 57 - 888
E-Mail:juergen.rast@harvard.de
arno.glompner@harvard.de
X